GCP - VPC & Networking
Sieciowanie obliczeniowe w GCP w pigułce
VPC zawiera reguły zapory pozwalające na przychodzący ruch do VPC. VPC zawiera również podsieci, w których maszyny wirtualne będą połączone. W porównaniu z AWS, Zapora byłaby najbliższą rzeczą do Grup Zabezpieczeń AWS i NACL, ale w tym przypadku są one zdefiniowane w VPC, a nie w każdej instancji.
VPC, Podsieci i Zapory w GCP
Instancje obliczeniowe są połączone podsieciami, które są częścią VPC (Chmury Prywatnej Wirtualnej). W GCP nie ma grup zabezpieczeń, są zapory VPC z regułami zdefiniowanymi na tym poziomie sieciowym, ale stosowanymi do każdej instancji VM.
Podsieci
VPC może mieć kilka podsieci. Każda podsieć znajduje się w 1 regionie.
Zapory
Domyślnie każda sieć ma dwie domyślne reguły zapory: zezwalaj wychodzący i zabroń przychodzący.
Po utworzeniu projektu GCP, tworzona jest również VPC o nazwie default
, z następującymi regułami zapory:
default-allow-internal: zezwalaj na cały ruch z innych instancji w sieci
default
default-allow-ssh: zezwalaj na 22 z dowolnego miejsca
default-allow-rdp: zezwalaj na 3389 z dowolnego miejsca
default-allow-icmp: zezwalaj na ping z dowolnego miejsca
Jak widać, reguły zapory mają tendencję do bycia bardziej permisywnymi dla adresów IP wewnętrznych. Domyślne VPC zezwala na cały ruch między Instancjami Obliczeniowymi.
Można utworzyć więcej reguł zapory dla domyślnego VPC lub dla nowych VPC. Reguły zapory można stosować do instancji za pomocą następujących metod:
Wszystkie instancje w ramach VPC
Niestety, nie ma prostego polecenia gcloud
, które wyświetliłoby wszystkie Instancje Obliczeniowe z otwartymi portami w Internecie. Trzeba połączyć punkty między regułami zapory, tagami sieciowymi, kontami usług i instancjami.
Ten proces został zautomatyzowany za pomocą tego skryptu w Pythonie, który wyeksportuje następujące informacje:
Plik CSV pokazujący instancję, publiczny IP, zezwolone TCP, zezwolone UDP
Skan nmap, aby zbadać wszystkie instancje na porty przychodzące z publicznego Internetu (0.0.0.0/0)
Masscan, aby zbadać pełny zakres TCP tych instancji, które zezwalają na WSZYSTKIE porty TCP z publicznego Internetu (0.0.0.0/0)
Hierarchiczne Polityki Zapory
Hierarchiczne polityki zapory pozwalają tworzyć i egzekwować spójną politykę zapory w całej organizacji. Można przypisać hierarchiczne polityki zapory do organizacji jako całości lub do poszczególnych folderów. Te polityki zawierają reguły, które mogą jawnie blokować lub zezwalać na połączenia.
Tworzenie i stosowanie polityk zapory odbywa się jako oddzielne kroki. Można tworzyć i stosować polityki zapory na węzłach organizacji lub folderów w hierarchii zasobów. Reguła polityki zapory może blokować połączenia, zezwalać na połączenia lub przekazywać ocenę reguły zapory do reguł zapory na niższych poziomach zdefiniowanych w sieciach VPC.
Domyślnie wszystkie reguły hierarchicznej polityki zapory stosują się do wszystkich VM w wszystkich projektach w ramach organizacji lub folderu, w którym polityka jest powiązana. Można jednak ograniczyć, które VM otrzymują daną regułę, określając sieci docelowe lub konta usług.
Możesz przeczytać tutaj, jak utworzyć Hierarchiczną Politykę Zapory.
Ocena Reguł Zapory
Org: Polityki zapory przypisane do Organizacji
Folder: Polityki zapory przypisane do Folderu
VPC: Reguły zapory przypisane do VPC
Globalne: Inny rodzaj reguł zapory, które można przypisać do VPC
Regionalne: Reguły zapory związane z siecią VPC interfejsu sieciowego VM i regionem VM.
Połączenie Sieci VPC
Pozwala na połączenie dwóch sieci Virtual Private Cloud (VPC), dzięki czemu zasoby w każdej sieci mogą się komunikować między sobą. Połączone sieci VPC mogą znajdować się w tym samym projekcie, różnych projektach tej samej organizacji lub różnych projektach różnych organizacji.
Oto wymagane uprawnienia:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Odnośniki
Last updated